Welche Anforderungen sind bei der Übermittlung von Daten in das Ausland zum Schutz der Persönlichkeitsrechte zu beachten?

19.07.2021

1. Prüfungsstufe

Jeder Verantwortliche, der Daten übermittelt, muss sich vergewissern, ob diese Übermittlung zulässig ist (s. Art. 5 Abs. 2 Datenschutz-Grundverordnung – DS-GVO). Er muss dazu prüfen, ob eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO für die Übermittlung gegeben ist.

Auch die übrigen allgemeinen Anforderungen an Datenverwendungen nach Art. 5 DS-GVO müssen umgesetzt werden, beispielsweise Informationspflichten und die Umsetzung der Prinzipien der Datenminimierung und Speicherbegrenzung.

Auftragsverarbeiter müssen die sie als Auftragsverarbeiter treffenden allgemeinen Pflichten erfüllen. Informationen zum Thema Auftragsverarbeitung enthält das Kurzpapier Nr. 13 (Auftragsverarbeitung).

Diese erste Prüfungsstufe muss immer erfolgen, unabhängig davon, ob die Daten an eine Stelle im Inland, in der EU bzw. im Europäischen Wirtschaftsraum (EWR) oder in Drittländer transferiert werden (siehe Artikel 44 DS-GVO: „(…) und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; (…)“).

2. Prüfungsstufe

Bei Datenübermittlungen in Länder außerhalb der EU/des EWR (Drittländer) muss der für die Übermittlung in das Drittland Verantwortliche zusätzlich sicherstellen, dass die Übermittlung aufgrund eines der Instrumente in Kapitel V der DS-GVO (Art. 44 ff. DS-GVO) erfolgt. Dazu kommen die folgenden Instrumente in Frage:

  • Angemessenheitsbeschluss (Art. 45 DS-GVO – siehe dazu unten 2.1
  • Geeignete Garantien wie Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften (Art. 46 DS-GVO – siehe dazu unten 2.2)
  • Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO – siehe dazu unten 2.3)

2.1 Angemessenheitsbeschluss: Datenschutzniveau im Drittland ist angemessen

Ob ein Drittland, ein Gebiet oder spezifische Sektoren in diesem Drittland oder eine internationale Organisation ein angemessenes Datenschutzniveau bieten, wird durch die EU-Kommission festgestellt. Nach Art. 45 Abs. 1 S. 2 DS-GVO bestehen auf der 2. Prüfungsstufe keine weiteren Anforderungen bei Datenübermittlungen in Drittländer, für die die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst hat. Die EU-Kommission veröffentlicht die Angemessenheitsbeschlüsse.

Auf Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG getroffene Angemessenheitsentscheidungen behalten unter der Maßgabe von Art. 45 Abs. 9 DS-GVO auch nach Inkrafttreten der DS-GVO ihre Gültigkeit. Die EU-Kommission hat diese Angemessenheitsbeschlüsse am 16.12.2016 mit einem Änderungsbeschluss angepasst. Die Änderungen betreffen nicht den Bestand der Angemessenheitsbeschlüsse. Sie sollen Anforderungen aus dem Schrems-Urteil des EuGH (siehe unter Ziffer 2.2) bezüglich der Befugnisse der Aufsichtsbehörden umsetzen.

Besonderheiten bei Datentransfers in die USA

Die EU Kommission hat mit Beschluss vom 12.07.2016 entschieden, dass unter dem Selbstzertifizierungsmechanismus des EU-US Privacy Shield ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA besteht. Das EU-US Privacy Shield ist ein Selbstzertifizierungsmechanismus für US-Unternehmen. Die Entscheidung der EU-Kommission bedeutet nicht, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde.

Dieser Beschluss wurde vom Europäischen Gerichshof für ungültig erklärt (Urteil des EuGH C-311/18 vom 16.07.2020).

Hinweise zu den Folgen dieses Urteils finden Sie hier

Weitere Empfehlungen zum Datentransfer in Drittländer nach dem "Schrems II"-Urteil finden Sie hier.

Besonderheiten bei Datenübermittlungen in das Vereinigte Königreich

Maßgeblich sind die Angemessenheitsbeschlüsse, die Übergangsregelungen zum Brexit sind dagegen nicht mehr von Bedeutung.

In den Regelungen zum Brexit ist eine Übergangsregelung vorgesehen (Schlussbestimmungen des Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union, Artikel 782 Übergangsbestimmung für die Übermittlung personenbezogener Daten an das Vereinigte Königreich). Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Dies galt vom In-Kraft-Treten des Abkommens an und endete, als die EU-Kommission die Angemessenheitsbeschlüsse nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 zum Vereinigten Königreich getroffen hat, nämlich am 28.06.2021.

2.2 Datenübermittlung mit geeigneten Garantien

Eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau ist zulässig, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1 DS-GVO). Als solche Garantien kommen verschiedene Instrumente infrage, die im Folgenden dargestellt sind.

Bei allen Garantien nach Art. 46 Abs. 1 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf zusätzliche Maßnahmen treffen. Diese Anforderungen ergeben sich aus den Klarstellungen des Europäischen Gerichtshofs (Urteil des EuGH C-311/18 C-311/18 vom 16.07.2020 - „Schrems II“). Der Europäische Datenschutzausschuss stellt dazu weitere Hinweise zur Verfügung.

a) Genehmigungsfreie geeignete Garantien (Art. 46 Abs. 2 DS-GVO)

Die in Art. 46 Abs. 2 DS-GVO abschließend aufgezählten Arten geeigneter Garantien müssen durch die jeweils für die übermittelnde, verantwortliche Stelle zuständige Aufsichtsbehörde nicht gesondert für konkrete Übermittlungen genehmigt werden (Art. 46 Abs. 2 DS-GVO).

aa) Standarddatenschutzklauseln der EU-Kommission (EU-Standardvertragsklauseln) (Art. 46 Abs. 2 lit. c DS-GVO)

In der Praxis erfolgt eine Übermittlung personenbezogener Daten in Drittländer häufig auf der Grundlage sogenannter Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 lit. c DS-GVO. Standardvertragsklauseln sind von der Europäischen Kommission verabschiedete Vertragsmuster zum Vertragsschluss zwischen den Datenexporteuren im Europäischen Wirtschaftsraum und den Datenimporteuren in Drittstaaten.

Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen, die eine rechtskonforme Übermittlung personenbezogener Daten in Drittländer ermöglichen sollen (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021). In den neuen Standardvertragsklauseln werden allgemeine Klauseln mit einem modularen Ansatz kombiniert. Zusätzlich zu den allgemeinen Klauseln sollen Verantwortliche und Auftragsverarbeiter das für ihre Situation geltende Modul auswählen. Die Module können für folgende Konstellationen verwendet werden:

  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Alte Standardvertragsklauseln (vgl. Entscheidung 2001/497/EG oder Beschluss 2010/87/EU) dürfen für eine Übergangszeit bis zum 26.09.2021 für Neuverträge verwendet werden.

Bis spätestens 27.12.2022 müssen alle Verträge, die auf Grundlage der alten Standardvertragsklauseln abgeschlossen wurden, auf die neuen Standardvertragsklauseln umgestellt werden. Diese Übergangsfrist unterliegt der Einschränkung, dass die betroffenen Verarbeitungsvorgänge unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.

Auch bei Verwendung der neuen EU-Standardvertragsklauseln ist eine Prüfung der Rechtslage im Drittland und danach etwaiger zusätzlicher ergänzender Maßnahmen erforderlich, denn in ihrem Beschluss ist die EU-Kommission unter anderem auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) eingegangen. Die von der EU-Kommission beschlossenen Standardvertragsklauseln können zwar grundsätzlich weiterhin als Rechtsgrundlage für Übermittlungen personenbezogener Daten in Drittländer herangezogen werden. Allerdings müssen alle Datenexporteure ergänzend eine Prüfung durchführen, ob die Rechtslage oder die Praxis in dem jeweiligen Drittland negativen Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzniveau haben können. Ist dies der Fall, etwa weil die Behörden des Drittlands übermäßige Zugriffsrechte auf die dorthin übermittelten Daten haben, müssen die Verantwortlichen vor der Datenübermittlung in das Drittland zusätzliche Maßnahmen ergreifen, um wieder ein Schutzniveau zu gewährleisten, das dem in der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Ist dies nicht möglich, müssen die Übermittlungen unterbleiben.

Für die Prüfung der Rechtslage im Drittland und der ergänzenden Maßnahmen können Verantwortliche die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ heranziehen. Deren endgültige Fassung hat der EDSA nach öffentlicher Konsultation am 18. Juni 2021 beschlossen.

An der beschriebenen Situation und den sich daraus ergebenden Verpflichtungen hat sich durch die neuen Standardvertragsklauseln nichts geändert. Diese regeln die bisher nur aus der Rechtsprechung des EuGH folgenden Anforderungen nun vielmehr ausdrücklich (Klausel 14). Die EU-Kommission und der EDSA haben die neuen Standardvertragsklauseln und die Empfehlungen 01/2020 bewusst aufeinander abgestimmt. Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand nehmen.

Die EU-Standardvertragsklauseln werden von der jeweiligen datenexportierenden Stelle (Datenexporteur) mit der datenempfangenden Stelle (Datenimporteur) abgeschlossen. Es ist auch möglich, diese Verträge als Mehrparteienvertrag zu gestalten. Dabei ist allerdings besonders darauf zu achten, dass die konkreten Datenflüsse zwischen den Vertragsparteien klar beschrieben sind. Es muss für die Betroffenen transparent bleiben, an welche Stellen zu welchen Zwecken ihre Daten übermittelt werden. Stellen Datenexporteure Schwierigkeiten bei der entsprechenden Darstellung fest, ist ein solcher Mehrparteienvertrag aufgrund zu komplizierter Strukturen und Datenflüsse ggfs. nicht das Übermittlungsinstrument der Wahl.

Wenn ein Datenexporteur mit dem Datenimporteur im Drittland einen Standardvertrag abschließt, geschieht dies in eigener Verantwortung. Einer besonderen Genehmigung der EU-Standardvertragsklauseln durch die LDI NRW bedarf es nicht, denn die Eignung des Vertragswerks als Garantie im Sinne des Art. 46 Abs. 1 DS-GVO folgt bereits aus der Erwähnung in Art. 46 Abs. 2 lit. c) DS-GVO. Werden allerdings einzelne Klauseln individuell verändert oder Klauseln der einzelnen Verträge miteinander vermischt, entsteht grundsätzlich ein Individualvertrag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohärenzverfahren auf EU-Ebene abgestimmt und durch die Aufsichtsbehörde genehmigt werden muss. Grundsätzlich können darunter auch Ergänzungen fallen, die der Anpassung an die DS-GVO dienen. Ob im Einzelfall keine Genehmigungspflicht besteht, ist in Zweifelsfällen durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären.

bb) Standarddatenschutzklauseln der Aufsichtsbehörden (Art. 46 Abs. 2 lit. d) DS-GVO)

Diese Garantien wurden durch die DS-GVO neu eingeführt. Die Aufsichtsbehörden haben die Möglichkeit, eigene Standardvertragsklauseln anzunehmen und diese auf EU-Ebene im Kohärenzverfahren abzustimmen. Für einen genehmigungsfreien Einsatz müssen die Klauseln auf EU-Ebene von der EU-Kommission genehmigt werden. Dann können sie ohne zusätzliche Genehmigung eingesetzt werden. Die LDI NRW plant derzeit keine solcher Klauseln.

cc) Verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“, BCR) (Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO)

Als weitere mögliche Garantien sind die verbindlichen internen Datenschutzvorschriften oder "Binding Corporate Rules" (BCR) zu nennen. Solche BCR betreffen Unternehmensgruppen oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. Eine Unternehmensgruppe ist eine Gruppe, die aus einem herrschenden Unternehmen und von diesem abhängigen Unternehmen besteht (Art. 4 Nr. 19 DS-GVO).

Die erforderlichen Mindestinhalte für BCR sind in Art. 47 DS-GVO geregelt.

Weitere Informationen sind hier abrufbar.

dd) Genehmigte Verhaltensregeln und Zertifizierung (Art. 46 Abs. 2 lit.e) und f) DS-GVO)

Die DS-GVO sieht mit den sogenannten genehmigten Verhaltensregeln nach Art. 40 DS-GVO (Art. 46 Abs. 2 Nr. 5 DS-GVO) sowie dem erfolgreichen Durchlaufen eines Zertifizierungsmechanismus gemäß Art. 42 DS-GVO (Art. 46 Abs. 2 Nr. 6 DS-GVO) weitere geeignete Garantien vor, jedoch nur zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Datenempfängers im Drittland.

ee) Neu: Rechtlich bindende und durchsetzbare Dokumente zwischen öffentlichen Stellen (Art. 47 Abs. 2 lit. a DS-GVO)

Für den öffentlichen Bereich relevant sind die in Art. 47 Abs. lit. a DS-GVO aufgeführten rechtlich bindenden und durchsetzbaren Dokumente zwischen öffentlichen Stellen.

b) Genehmigungsbedürftige geeignete Garantien (Art. 46 Abs. 3 DS-GVO)

Darüber hinaus können datenübermittelnde Stellen andere, individuelle Garantien umsetzen, etwa individuelle Verträge. Art. 46 Abs. 3 DS-GVO führt beispielhaft zwei mögliche individuelle Übermittlungsinstrumente auf. Diese Auflistung ist, anders als die in Absatz 2, nicht abschließend. Datenübermittelnde Stellen können also eigene individuelle Garantien entwickeln und zur Genehmigung vorlegen. Deren Schutzniveau darf jedoch nicht hinter dem Schutzniveau der detaillierter ausgestalteten Garantien zurückbleiben. Insgesamt sollte zunächst eine Abstimmung mit den zuständigen Aufsichtsbehörden über den Anwendungsbereich potentieller eigener individueller Garantien vorgenommen werden.

Von einer Aufsichtsbehörde auf der bisher geltenden Grundlage von Art. 26 Absatz 2 der EU-Datenschutzrichtlinie RL 95/46/EG erteilte Genehmigungen bleiben vorerst gültig (siehe Art. 46 Abs. 5 DS-GVO).

3. Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)

Sind für die Datenübermittlung ins Ausland weder Angemessenheitsbeschlüsse für Drittländer getroffen noch geeignete Garantien vorgesehen worden, so kann eine Datenübermittlung nur noch unter den Bedingungen des Art. 49 DS-GVO erfolgen.

Zunächst muss nach Art. 49 Abs. 5 DS-GVO – für den Fall, dass kein Angemessenheitsbeschluss existiert – geprüft werden, ob im Unionsrecht oder im Recht der Mitgliedstaaten Beschränkungen für Übermittlungen bestimmter Kategorien von personenbezogenen Daten an Drittländer aus wichtigen Gründen des öffentlichen Interesses vorgesehen sind. Existieren solche Beschränkungen, dürfen die betroffenen Kategorien an personenbezogenen Daten auch nicht unter den Voraussetzungen des Art. 49 DS-GVO an Drittländer übermittelt werden.

Sind keine Beschränkungen vorhanden, darf die Datenübermittlung ins Ausland nach Art. 49 Abs. 1 S.1 lit. a – g DS-GVO erfolgen, wenn

  • die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde (lit. a) oder
  • die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist (lit. b) oder
  • die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist (lit. c) oder
  • die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist (lit. d) oder
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (lit. e) oder
  • die Übermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (lit. f) oder
  • die Übermittlung aus einem Register erfolgt, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind (lit. g).

Sollten auch diese Voraussetzungen nicht erfüllt sein, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nach Art. 49 Abs. 1 UAbs. 2 DS-GVO nur noch dann erfolgen, wenn die Übermittlung

  • nicht wiederholt erfolgt,
  • nur eine begrenzte Zahl von betroffenen Personen betrifft,
  • für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und
  • der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.

Diese Punkte müssen kumulativ vorliegen und deren Beurteilung sowie die angemessenen Garantien in die Dokumentation nach Art. 30 DS-GVO aufgenommen werden. Zudem muss der Verantwortliche die Aufsichtsbehörde von der Übermittlung in Kenntnis setzen und die betroffenen Personen über die Übermittlung und seine zwingenden berechtigten Interessen unterrichten.

Die Tatbestände des Art. 49 Abs. 1 DS-GVO sind restriktiv auszulegen. Sie dürfen nicht zu einer Aushöhlung des Persönlichkeitsrechtsschutzes bei Datenübermittlungen ins Ausland führen.

Weitere Ausführungen zu den Ausnahmetatbeständen enthalten die Leitlinien 2/2018 des Europäischen Datenschutzausschusses.

4. Allgemeine Hinweise

Datenverarbeitende Stellen sollten erst nach sorgfältiger Abwägung für den jeweiligen Einzelfall entscheiden, ob sie Dienste in Anspruch nehmen, bei denen Datenübermittlungen in Drittländer stattfinden (können). Es ist zu beachten, dass „Dienstleister*innen unter Umständen Übermittlungen für Backups, zur Wartung oder für Servicezwecke vorsehen, die der datenverarbeitenden Stelle nicht oder nicht ausreichend transparent gemacht werden.

Die Rechtsprechung des EuGHs kann sich möglicherweise noch auf weitere Angemessenheitsbeschlüsse der EU-Kommission auswirken.

Technische und organisatorische Maßnahmen können auch hinsichtlich der 2. Prüfungsstufe eingesetzt werden, etwa zur Verhinderung nicht erforderlicher Datenübermittlung oder unberechtigter Zugriffe Dritter. Wir raten den datenverarbeitenden Stellen generell dazu, für Übermittlungen von personenbezogenen Daten in Drittländer möglichst umfassend Verschlüsselung einzusetzen. Ebenfalls raten wir dazu, die Schlüsselverwaltung möglichst bei dem Datenexporteur in der EU durchzuführen.

zurück zur Übersicht